在目前的經濟形勢下,大多數IT企業都開始加快部署服務器虛擬化的腳步,以此來作為降低總體擁有成本,削減能耗支出和跟上競爭對手發展步伐的手段。服務器虛擬化的使用范圍日益擴大,已經不再局限於IT運作,而是對整個IT業務產生了更加廣泛的影響。虛擬化技術開始直接影響到整體的管理模式,並對控制,流程和系統提出了新的要求。盡管虛擬化技術在數據中心內的使用規模還比較小,影響力也比較有限。但隨著虛擬化規模的增長,這種技術會對整個業務產生影響。
本文著重探討了這種全新架構對數據中心和業務控制的影響,向讀者推薦能幫助虛擬化技術更加高效所需的新的政策,制度和控制流程。
對數據中心的影響
首先,大多數數據中心管理者認為,他們可以用管理物理服務器一樣的方式來管理虛擬機,但實踐證明這是根本不可能的。雖然這兩種環境之間有很多共同點,但也有一些顯著的差異。
虛擬化技術對現有控制過程和程序的潛在影響是最大的分歧之一。舉例來說,每家數據中心在涉及新的服務器配置時都會有具體的過程和程序,這些通常涉及各個數據中心團隊之間的工作移交,最後才能完成數據中心內新服務器的安裝工作。
但是當你創建一個新的虛擬機時,表面上的過程是輕點鼠標-然後從模板中復制一個現成的虛擬機或者生成一個新的虛擬機,這些過程很容易就能繞過去。
當你對特定的服務器生成10個完全相同的副本並且在企業內部進行分配,對這些副本進行跟蹤是你必須面對的挑戰。由虛擬化供應商提供的管理系統將告訴你指定的虛擬機現在在哪,但用戶對指定虛擬機與其他虛擬機之間的關系和他們的實際位置卻無從了解。在虛擬機配置完成後他們可以在環境周圍進行遷移。這種過程不僅使虛擬機更難被跟蹤和管理,而且還會威脅到數據/應用程序分區政策的安全。
目前虛擬環境中運行的數據中心管理工具是很難解決這些區別和其他問題的,這就給虛擬化環境中留下了潛在的盲點。這也進一步加劇了虛擬管理工具,報告和自動化特性的匮乏。最終的結果是一個非常人工的環境無法與現有的數據中心法規遵從和控制模式相融合。
這意味著,傳統的"小紅旗"或報警系統在虛擬化領域可能已經無法正常發揮作用,因為他們要麼被規避,要麼在日常運作中被忽略,讓你的數據中心暴露在危險之中。
在由各種關聯系統,流程和制衡所組成的物理數據中心中,如果有任何狀況脫離了正常流程之外就會被插上小紅旗。管理則是個例外,在當今規則下管理環境被看做是"沒有消息"就是真正的"好消息"。
但在由人工控制和報告匮乏占據主導地位的大環境下,控制能見度的缺乏會導致你對即將發生的問題視而不見。當虛擬化應用環境規模還比較小時,這可能不會是太大的問題,但隨著虛擬化應用環境的發展-這種問題的影響也會日益凸顯。
對業務控制的影響
隨著虛擬環境的發展,自動化控制的缺乏和逐漸增多的人工活動在IT應用與審計業務之間開始引發失衡,並且隨著虛擬環境的發展而與日俱增。
采用綜合CRC模型(即監管,風險管理及法規遵從三個詞匯的縮寫)(圖1)你可以更為清晰的看到這些對業務控制系統的影響。虛擬環境中自動化控制,監管和連續測算的缺乏以及手動流程的相應增長使得虛擬環境與物理環境相比,控制的有效性更差,而風險卻更高。
當虛擬環境規模較小而且內容有限時,不會造成太大影響,但隨著虛擬環境的發展,局勢迅速發生了變化,最終導致整個系統的嚴重失衡。
GRC系統模型失衡的越明顯,對整體業務造成的影響就越大。
每個企業各自的"臨界點"會有所不同,但遲早都會達到,屆時企業開始看到相應的成本和風險與日俱增:不少企業已經開始將這部分計入超出計劃的IT支出,這些支出是由於效率低下的虛擬環境而產生的。其他人也會看到有形和無形數據中心事故數量的不斷攀升,所有這些都將最終影響到整體業務的運轉。
需要額外的政策
大量現有的業務和風險政策和控制目標仍然適用於虛擬環境。他們可能需要進行調整來靈活適應這種全新的體系架構,但它們仍然適用。這些政策包括對所有服務器(無論是物理還是虛擬的)都通用的基本要素,諸如配置,補丁管理和安全。
然而虛擬化技術也有其專門需要的全新政策和控制措施。這些措施包括:
•身份管理:鑒於虛擬機的靈活性特點,不是以簡單的命名慣例為基礎的一定級別的身份管理協議是必要的,同時還要確保這些政策得到正確的應用。
•虛擬機的流動性控制:虛擬化帶來的靈活性是它提供給IT部門的價值所在。虛擬機的設計非常靈活,並且可以輕松的實現從主機到主機的遷移,以此來響應自動化需求(負載平衡)或在必要時手動進行(比如需要維修時從物理主機上刪除虛擬機)。但流動性也是一把雙刃劍,因為並非所有的虛擬機都需要流動。舉例來說:你想控制(並非出於審計目的的控制)任何符合規定或企業內部標准的應用程序。圍繞指定虛擬機制定的政策是否應該允許政策的運行呢,虛擬機應該有多長時間應該離線呢?
•配置: 傳統的服務器配置流程在虛擬化環境中可以很容易地被規避,因此需要建立新的流程來控制虛擬機的配置和判斷是否應該授權新的服務器。
•數據分離: 每個數據中心都有圍繞數據分離所制定的具體規則,這些通常會受到安全問題或法規遵從問題的影響。當你根據這些標准對應用軟件部署虛擬化,將如何執行虛擬化部署這一點考慮在內是非常重要的,不僅是在虛擬機配置時需要注意,而且在整個生命周期內都要防止錯誤流動的發生,不管是無意的還是惡意的。
•回收: 確保及時刪除多余的或者未使用的虛擬機是另一個需要具體政策和目標控制的方面。另外,這種新技術的安全性影響也必須考慮在內:包括虛擬機對現有安全系統的影響(某些系統在虛擬環境中無法正常工作)和可能導致的潛在攻擊危險。